Security Event Log - Access Denied

[Christoph35 10]

Hallo, zusammen,

 

bei uns wird ein Log-Management Tool eingeführt (IBM Tivoli), das die Security Eventlogs der DCs lesen und in eine Datenbank schreiben soll. Für diesen Zweck haben wir einen User-Account, eine globale Gruppe und eine domain-lokale Gruppe in jeder unserer 3 Domains erstellt.

 

Der User-Account ist Mitglied der globalen Gruppe, die im Tivoli das Recht hat, die Datenbank zu befüllen und diese wiederum Mitglied der domain-lokalen Gruppe.

 

Die domain-lokale Gruppe hat per GPO, die auf die DC OU gebunden ist (nicht die Def.-DC-Policy, sondern eine eigene) das Recht "Verwalten von Überwachungs- und Sicherheitsprotokollen" eingeräumt bekommen.

 

Führe ich jetzt die MMC Computerverwaltung von einem Memberserver oder einer Workstation aus, verbinde mich dann mit der Computerverwaltung eines DCs und versuche, die Security-Events aufzurufen, bekomme ich einen Access Denied Fehler.

 

Mindestens eine Berechtigung fehlt also noch.

 

Kann mir jemand einen Hinweis geben?

 

Danke!

 

Christoph

[twiki 10]

Hi,

 

schau Dir doch mal folgenden Link an:

 

How to set event log security locally or by using Group Policy in Windows Server 2003

 

Gruss

twiki

 

P.S.: dies Beschreibung ist für Anwendung und Systemprotokolle ausgelegt, aber der Hinweis, sagt das man die auch für das Sicherheitsprotokoll machen kann, aber nur "Lesen" und "Löschen" verändern kann. (Steht aber unterhalb der Zusammenfassung :))

[Christoph35 10]

Das ging ja mal wieder sehr schnell hier :D

 

Vielen Dank, der Artikel hat mir geholfen :).

 

Folgende Links helfen beim Zusammensetzen des SDDL Strings noch etwas weiter:

 

SID Strings (Windows)

und

ACE Strings (Windows)

 

Gruß

 

Christoph